C2WTS(Windows 토큰 서비스에 대한 클레임) 및 Reporting ServicesClaims to Windows Token Service (C2WTS) and Reporting Services

이 항목 적용 대상:THIS TOPIC APPLIES TO: 예SQL Server Reporting Services(2016 이상)SQL Server Reporting Services (2016 and later) 예SharePointSharePoint 예Power BI 보고서 서버Power BI Report Server이 항목 적용 대상:THIS TOPIC APPLIES TO: 예SQL Server Reporting Services(2016 이상)SQL Server Reporting Services (2016 and later) 예SharePointSharePoint 예Power BI 보고서 서버Power BI Report Server

SharePoint C2WTS(Windows 토큰 서비스에 대한 클레임)는 SQL Server Reporting Services 보고서 뷰어 웹 파트 내에서 기본 모드 보고서를 보려는 경우에 필요합니다.The SharePoint Claims to Windows Token Service (C2WTS) is required if you want to view native mode reports within the SQL Server Reporting Services Report Viewer web part.

SharePoint 팜 외부에 있는 데이터 원본에 대해 Windows 인증을 사용하려면 SQL Server Reporting Services SharePoint 모드에서 C2WTS를 사용해야 합니다.C2WTS is also required with SQL Server Reporting Services SharePoint mode if you want to use Windows authentication for data sources that are outside the SharePoint farm. 데이터 원본이 공유 서비스와 동일한 컴퓨터에 있더라도 C2WTS가 필요합니다.C2WTS is needed even if your data source(s) are on the same computer as the shared service. 하지만 이 경우에는 제한된 위임이 필요하지 않습니다.However in this scenario, constrained delegation is not needed.

참고

SQL Server 2016 이후부터 SharePoint와의 Reporting Services 통합을 사용할 수 없습니다.Reporting Services integration with SharePoint is no longer available after SQL Server 2016.

보고서 뷰어 웹 파트 구성Report Viewer web part configuration

보고서 뷰어 웹 파트를 SharePoint 사이트 내에서 SQL Server Reporting Services 기본 모드 보고서를 포함하는 데 사용할 수 있습니다.The Report Viewer web part can be used to embed SQL Server Reporting Services native mode reports within your SharePoint site. 이 웹 파트는 SharePoint 2013 및 SharePoint 2016에서 사용할 수 있습니다.This web part is available for SharePoint 2013 and SharePoint 2016. SharePoint 2013 및 SharePoint 2016은 모두 클레임 인증을 사용합니다.Both SharePoint 2013 and SharePoint 2016 make use of claims authentication. SQL Server Reporting Services(기본 모드)는 기본적으로 Windows 인증을 사용합니다.SQL Server Reporting Services (native mode) uses Windows authentication by default. 결과적으로, C2WTS를 보고서에 대해 적절하게 구성해야 올바르게 렌더링할 수 있습니다.As a result, C2WTS needs to be configured properly for reports to render correctly.

SharePoint 모드 통합SharePoint mode integaration

이 섹션은 SQL Server 2016 Reporting Services 및 이전 버전에 적용됩니다.This section only applies to SQL Server 2016 Reporting Services and earlier.

SharePoint 팜 외부에 있는 데이터 원본에 대해 Windows 인증을 사용하려면 SQL Server Reporting Services SharePoint 모드에서 SharePoint C2WTS(Windows 토큰 서비스에 대한 클레임)를 사용해야 합니다.The SharePoint Claims to Windows Token Service (C2WTS) is required with SQL Server Reporting Services SharePoint mode if you want to use Windows Authentication for data sources that are outside the SharePoint farm. 사용자가 Windows 인증을 사용하여 데이터 원본에 액세스하는 경우에도 WFE(웹 프런트 엔드)와 Reporting Services 공유 서비스 간의 통신은 항상 클레임 인증으로 수행되기 때문에 SharePoint c2WTS가 필요합니다.This is true even if the user accesses the data sources with Windows Authentication because the communication between the web front-end (WFE) and the Reporting Services shared service will always be Claims Authentication.

c2WTS를 구성하기 위해 필요한 단계Steps needed to configure c2WTS

C2WTS에서 만들어진 토큰은 제한된 위임(특정 서비스로 제한됨)과 "모든 인증 프로토콜 사용" 구성 옵션에서만 작동합니다.The tokens created by C2WTS will only work with constrained delegation (constrains to specific services) and the configuration option "using any authentication protocol". 앞에서 설명한 것처럼 데이터 원본이 공유 서비스와 동일한 컴퓨터에 있으면 제한된 위임이 필요하지 않습니다.As noted earlier, if your data sources are on the same computer as the shared service, then constrained delegation is not needed.

사용자 환경에서 Kerberos 제한된 위임을 사용하는 경우 SharePoint Server 서비스와 외부 데이터 원본이 동일한 Windows 도메인에 있어야 합니다.If your environment will use Kerberos constrained delegation, then the SharePoint Server service and external data sources need to reside in the same Windows domain. c2WTS(Windows 토큰 서비스에 대한 클레임)를 사용하는 서비스는 c2WTS에서 Kerberos 프로토콜 전환을 사용하여 클레임을 Windows 자격 증명으로 변환할 수 있도록 Kerberos 제한된 위임을 사용해야 합니다.Any service that relies on the Claims to Windows token service (c2WTS) must use Kerberos constrained delegation to allow c2WTS to use Kerberos protocol transition to translate claims into Windows credentials. 이러한 요구 사항은 모든 SharePoint 공유 서비스에 적용됩니다.These requirements are true for all SharePoint Shared Services. 자세한 내용은 SharePoint 2013에서 Kerberos 인증 계획을 참조하세요.For more information, see Plan for Kerberos authentication in SharePoint 2013.

  1. C2WTS 서비스 계정을 구성합니다.Configure the C2WTS service account. C2WTS를 사용하는 각 서버의 로컬 관리자 그룹에 서비스 계정을 추가합니다.Add the service account to the local Administrators group on each server that C2WTS will be used.

    보고서 뷰어 웹 파트의 경우, WFE(웹 프런트 엔드) 서버가 사용됩니다.For the Report Viewer web part, this will be the Web Front End (WFE) servers. SharePoint 통합 모드의 경우, Reporting Services 서비스가 실행되고 있는 응용 프로그램 서버가 사용됩니다.For SharePoint integrated mode, this will be the application servers where the Reporting Services service is running.

  2. C2WTS 서비스 계정에 대한 위임을 구성합니다.Configure delegation for the C2WTS service account.

    계정에 대해 프로토콜 전환을 포함하는 제한된 위임을 구성해야 합니다. 또한 이 계정에는 통신해야 하는 서비스(예: SQL Server Database Engine, SQL Server Analysis Services)에 대한 위임 권한이 있어야 합니다.The account needs Constrained Delegation with Protocol Transitioning and permissions to delegate to the services it is required to communicate with (i.e. SQL Server Database Engine, SQL Server Analysis Services). 위임을 구성하려는 경우 Active Directory 사용자 및 컴퓨터 스냅인을 사용할 수 있으며 도메인 관리자여야 합니다.To configure delegation you can use the Active Directory Users and Computer snap-in and will need to be a domain administrator.

    중요

    위임 탭에서 C2WTS 서비스 계정에 대해 어떤 설정을 구성하든 간에 사용 중인 주 서비스 계정과 일치해야 합니다.Whatever settings you configure for the C2WTS service account, on the delegation tab, needs to match the main service account being used. 보고서 뷰어 웹 파트의 경우, SharePoint 웹 응용 프로그램에 대한 서비스 계정입니다.For the Report Viewer web part, this will be the service account for the SharePoint web application. SharePoint 통합 모드의 경우, Reporting Services 서비스 계정입니다.For SharePoint integrated mode, this will be the Reporting Services service account.

    예를 들어 C2WTS 서비스 계정이 SQL 서비스에 위임할 수 있게 하는 경우 SharePoint 통합 모드에 대한 Reporting Services 서비스 계정에 대해서도 동일한 작업을 수행해야 합니다.For example, if you allow the C2WTS service account to delegate to a SQL Service, you need to do the same on the Reporting Services service account for SharePoint integrated mode.

    • 각 서비스 계정을 마우스 오른쪽 단추로 클릭하고 속성 대화 상자를 엽니다.Right-click each service account and open the properties dialog. 대화 상자에서 위임 탭을 클릭합니다.In the dialog click the Delegation tab.

      개체에 SPN(서비스 사용자 이름)이 할당된 경우에만 위임 탭이 표시됩니다.The delegation tab is only visible if the object has a Service Prinicpal Name (SPN) assigned to it. C2WTS는 C2WTS 계정에서 SPN이 필수는 아니지만 SPN이 없을 경우 위임 탭이 표시되지 않습니다.C2WTS does not require an SPN on the C2WTS Account, however, without an SPN, the Delegation tab will not be visible. 제한된 위임을 구성하는 다른 방법으로는 ADSIEdit와 같은 유틸리티를 사용할 수 있습니다.An alternative way to configure constrained delegation is to use a utility such as ADSIEdit.

    • 위임 탭에 대한 키 구성 옵션은 다음과 같습니다.Key configuration options on the delegation tab are the following:

      • 지정한 서비스에 대한 위임용으로만 이 사용자 트러스트 선택Select Trust this user for delegation to specified services only
      • 모든 인증 프로토콜 사용 선택Select Use any authentication protocol
    • 추가 를 선택하여 위임할 서비스를 추가합니다.Select Add to add a service to delegate to.

    • 사용자 또는 컴퓨터...*를 선택하고 서비스를 호스트하는 계정을 입력합니다.Select Users or Computers...* and enter the account that hosts the service. 예를 들어 sqlservice라는 계정으로 SQL Server를 실행 중이면 sqlservice를 입력합니다.For example, if a SQL Server is running under an account named sqlservice, enter sqlservice.

    • 서비스 목록을 선택합니다.Select the service listing. 해당 계정에서 사용할 수 있는 SPN이 표시됩니다.This will show the SPNs that are available on that account. 해당 계정에 서비스가 표시되지 않는 경우 누락되었거나 다른 계정에 배치되었을 수 있습니다.If you don't see the service listed on that account, it may be missing or placed on a different account. SetSPN 유틸리티를 사용하여 SPN을 조정할 수 있습니다.you can use the SetSPN utility to adjust SPNs.

    • 확인을 선택하여 대화 상자를 종료합니다.Select OK to get out of the dialogs.

  3. C2WTS AllowedCallers를 구성합니다.Configure C2WTS AllowedCallers.

    C2WTS에는 구성 파일 C2WTShost.exe.config에 명시적으로 나열된 ‘callers’ ID가 필요합니다. C2WTS는 특별히 구성되지 않은 한 시스템의 모든 인증된 사용자로부터의 요청을 허용하지 않습니다.C2WTS requires the ‘callers’ identities explicitly listed in the configuration file, C2WTShost.exe.config. C2WTS does not accept requests from all authenticated users in the system unless it is configured to do so. 이 경우 ‘caller’는 WSS_WPG Windows 그룹입니다.In this case the 'caller' is the WSS_WPG Windows group. C2WTShost.exe.config 파일은 다음 위치에 저장됩니다.The C2WTShost.exe.confi file is saved in the following location:

    SharePoint 중앙 관리 내에서 C2WTS 서비스에 대한 서비스 계정을 변경하면 WSS_WPG 그룹에 해당 계정이 추가됩니다.Changing the service account within SharePoint Central Admin, for the C2WTS service, will add that account to the WSS_WPG group.

    \Program Files\Windows Identity Foundation\v3.5\c2WTShost.exe.config\Program Files\Windows Identity Foundation\v3.5\c2WTShost.exe.config

    다음은 구성 파일의 예입니다.The following is an example of the configuration file:

    <configuration>
      <windowsTokenService>
        <!--  
            By default no callers are allowed to use the Windows Identity Foundation Claims To NT Token Service.  
            Add the identities you wish to allow below.  
          -->
        <allowedCallers>
          <clear/>
          <add value="WSS_WPG" />
        </allowedCallers>
      </windowsTokenService>
    </configuration>
    
  4. 서버의 서비스 관리 페이지에서 SharePoint 중앙 관리를 통해 Windows 토큰 서비스에 대한 클레임을 시작합니다.Start the Claims to Windows Token Service through SharePoint Central Administration on the Manage Services on Server page. 서비스는 동작을 수행하는 서버에서 시작되어야 합니다.The service should be started on the server that will be performing the action. 예를 들어 WFE인 서버와 SQL Server Reporting Services 공유 서비스가 실행되는 응용 프로그램 서버인 다른 서버가 있는 경우 응용 프로그램 서버에서만 C2WTS를 시작하면 됩니다.For example if you have a server that is a WFE and another server that is an Application Server that has the SQL Server Reporting Services shared service running, you only need to start C2WTS on the Application Server. 보고서 뷰어 웹 파트를 실행하는 경우 C2WTS는 WFE 서버에서만 필요합니다.C2WTS is only required on a WFE server if you are running the Report Viewer web part.

추가 질문이 있으신가요?More questions? Reporting Services 포럼에서 질문하기Try asking the Reporting Services forum